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PROCEDES DE CONTRE-MESURE DANS UN COMPOSANT 
ELECTRON IQUE METTANT EN OEUVRE UN ALGORITHME DE 
CRY PTOGRAPH I E A CLE PUBLIQUE DE TYPE COURBE ELLIPTIQUE 

La presente invention concerne un precede de 
contre-mesure dans un composant electronique 
mettant en ceuvre un algorithme de chif f rement a 
5 cle publique de type courbe elliptique. 

Dans le modele classique de la cr yptographie a 
clef secrete, deux personnes desirant 

communiquer par 1 ' int ermediaire d'un canal non 

10 securise doivent au prealable se mettre d'accord 
sur une cle secrete de chiffrement K. La 
fonction de chiffrement et la fonction de 
dechiff rement utilisent la meme clef K. 
L' inconvenient du systeme de chiffrement a cle 

15 secrete est que ledit systeme requiert la 
communication prealable de la cle K entre les 
deux personnes par 1 ' int ermediaire d'un canal 
securise, avant qu'un quelconque message chif fre 
ne soit envoye a travers le canal non securise. 

20 Dans la pratique, il est gen^ralement difficile 
de trouver un canal de communication 
parfaitement securise, surtout si la distance 
separant les deux personnes est importante. On 
entend par canal securise un canal pour lequel 

25 il est impossible de connaitre ou de modifier 
les informations qui transitent par ledit canal, 
Un tel canal securise peut etre realise par un 
cable reliant deux terminaux, possedes par les 
deux dites personnes. 
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Le concept de crypt ographie a clef publique fut 
invente par Whitfield DIFFIE et Martin HELLMAN 
en 1976. La crypt ographie a clef publique permet 
de resoudre le probleme de la distribution des 
clefs a travers un canal non securise. Le 
principe de la cryptographie a clef publique 
consiste a utiliser une paire de clefs, une clef 
publique de chiffrement et une clef privee de 
dechiffrement. II doit etre calculatoirement 
infaisable de trouver la clef privee de 
dechiffrement a partir de la clef publique de 
chiffrement. Une personne A desirant communiquer 
une information a une personne B utilise la clef 
publique de chiffrement de la personne B. Seule 
la personne B possede la clef privee associee a 
sa clef publique. Seule la personne B est done 
capable de dechiffrer le message qui lui est 
adresse. 

Un autre avantage de la cryptographie a cle 
publique sur la cryptographie a cle secrete est 
que la cryptographie a clef publique permet 
1' authentification par 1 ' utilisation de 

signature electronique . 

La premiere realisation de schema de chiffrement 
a clef publique fut mis au point en 1977 pa r 
Rivest, Shamir et Adleman, qui ont invente le 
systeme de chiffrement RSA . La securite de RSA 
repose sur la difficulty de factoriser un grand 
nombre qui est le produit de deux nombres 
premiers . 



Depuis, de nombreux systemes de chiffrement a 
clef publique ont ete proposes, dont la securite 
repose sur differents problemes calculatoires : 
(cette liste n'est pas exhaustive). 

- Sac a dos de Merckle-Hellman : 

Ce systeme de chiffrement est base sur la 
difficulty du probleme de la somme de sous- 
ensembles . 

- McEliece : 

Ce systeme de chiffrement est base sur la 
theorie des codes algebriques. II est base sur 
le probleme du decodage de codes lineaires. 

- ElGamal : 

Ce systeme de chiffrement est base sur la 
difficuite du logarithme discret dans un corps 
f ini . 

- Courbes elliptiques : 

Le systeme de chiffrement a courbe 
elliptique constitue une modification de 
systemes crypt ographique s existant pour les 

appliquer au domaine des courbes elliptiques. 

L' utilisation de courbes elliptiques dans 
des systemes crypt ographiques fut propose 
independamment par Victor Miller et Neal Koblitz 
en 1985. Les applications reelles des courbes 
elliptiques ont ete envisagees au debut des 
annees 1990. 
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L'avantage de cryptosystemes a base de courbe 
elliptique est qu'ils fournissent une securite 
equivalente aux autres cryptosys temes mais avec 
des tallies de clef moindres. Ce gain en taille 
de cle implique une diminution des besoins en 
memoire et une reduction des temps de calcul, ce 
qui rend 1 ' utilisation des courbes elliptique_ 
particulierement adaptees pour des applications 
de type carte a puce. 

Une courbe elliptique sur un corps fini 
GF(q-n) (q etant un nombre premier et n un 
entier) est l'ensemble des points (x,y) avec 
l'abscisse et y l'ordonnee appartenant a GF(q-n) 
solution de l'equation : 
y A 2=x~3+a*x+b 

si q est superieur ou egal a 3 
et y A 2+x*y=x A 3+a*x A 2+b 
si q=2. 

II existe 2 precedes pour representer 
point d'une courbe elliptique : 

Premierement, la representation 

coordonnees affine; dans ce precede, un point P 
de la courbe elliptique est represents par ses 
coordonnees (x,y). 

Deuxiement, la representation en coordonnees 
projectives. 

L'avantage de la representation en coordonnees 
projectives est qu'elle permet d' eviter les 
divisions dans le corps fini, lesdites divisions 
6tant les operations les plus couteuses en temps 
de calcul. 
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La representation en coordonnes projectives le 
plus couramment utilisee est celle consistant a 
representer un point P de la courbe elliptique 
par les coordonnees (X,Y,Z), telles que x=X/Z et 
y=Y/Z A 3 . 

Les coordonnees projectives d f un point ne sont 
pas uniques parce que le triplet (X,Y,Z) et le 
triplet (X"2*X, X"3*Y, X*Z) representent le meme 
point quelque soit l'eleiment X appartenant au 
corps fini sur lequel est defini la courbe 
elliptique. 

Les 2 classes de courbes les plus utilisees en 
cryptographie sont les suivantes : 

1) Courbes definies sur le corps fini GF(p) 
(ensemble des entiers modulo p, p etant un 
nombre premier) ayant pour equation 
y A 2=x A 3+a*x+b 

2) Courbes definies sur le corps fini GF(2 A n) 
ayant pour equation 

y A 2+x*y=x A 3+a*x A 2+b 

Pour chacune de ces deux classes de courbes, on 
definit les operations d' addition de point et de 
doublement de point. 

L' addition de point est 1' operation qui etant 
donne deux points P et Q calcule la somme R=P+Q, 
R etant un point de la courbe dont les 
coordonnees s'expriment a 1' aide des coordonnees 
des points P et Q suivant des formules dont 
l'expression est donnee dans l'ouvrage 
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" Elliptic curve public key cryptosystem « par 
Alfred J. Menezes. 

Le doublement de point est 1' operation qui, 
etant donne un point P, calcule le point R=2*P, 
R etant un point de la courbe dont les 
coordonnees s'expriment a l'aide des coordonnees 
du point P suivant des formules dont 
l'expression est donnee dans l'ouvrage 
Elliptic curve public key cryptosystem « par 
Alfred J. Menezes. 



Les operations d'addition de point et de 
doublement de point permettent de definir une 
operation de multiplication scalaire : etant 
donne un point P appartenant a une courbe 
elliptique et un entier d, le resultat de la 
multiplication scalaire de P par d est le point 
Q tel que Q=d * P = P+P + ...+p d fois. 

La securite des algorithmes de cryptographie sur 
courbes elliptiques est basee sur la difficulty 
du probleme du logarithme discret sur courbes 
elliptiques, ledit probleme consistant a partir 
de deux points Q et P appartenant a une courbe 
elliptique E, de trouver, s'il existe, un entier 
x tel que Q=x*P 

II existe de nombreux algorithmes 

cryptographiques bases sur le probleme du 
logarithme discret. Ces algorithmes sont 
facilement t ransposables aux courbes 

elliptiques . 



Ainsi, il est possible de mettre en ceuvre des 
algorithmes assurant 1 ' authent if ication, la 
confidentialite, le controle d'integrite et 
l'echange de cle. 

Un point commun a la plupart des algorithmes 
cryptographiques bases sur les courbes 
elliptiques est qu' ils comprennent comme 
parametre une courbe elliptique definie sur un 
corps fini et un point P appartenant a cette 
courbe elliptique. La cle privee est un entier d 
choisi aleatoirement. La clef publique est un 
point de la courbe Q tel que Q = d*P. Ces 
algorithmes cryptographiques font generalement 
intervenir une multiplication scalaire dans le 
calcul d'un point R=d*T ou d est la clef 
secrete . 

Dans le paragraphe ci dessous, on decrit un 
algorithme de chiffrement a base de courbe 
elliptique. Ce schema est analogue au schema de 
chiffrement d'El Gamal. Un message m est chiffr6 
de la maniere suivante : 

Le chiffreur choisit un entier k aleatoirement 
et calcule les points k*P=(xl,yl) et k*Q=(x2,y2) 
de la courbe, et 1' entier c= x2 + itu Le chiffr6 
de m est le triplet (xl,yl,c). 

Le dechiffreur qui possede d dechiffre m en 
c'alculant : 

(x' 2 , y' 2 ) =d (xl, yl) et m=c-x'2 
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Pour realiser les multiplications scalaires 
necessaires dans les proceeds de calcul decrits 
precedemment, plusieurs algorithmes existent : 

Algorithme " double and add " ; 
Algorithme w addi tion-soustract ion " 
Algorithme avec chaines d' addition ; 
Algorithme avec fenetre ; 
Algorithme avec representation signee. 

Cette liste n'est pas exhaustive. L' algorithme 
le plus simple et le plus utilise est 
1' algorithme " double and add ". L' algorithme 
" double and add " prend en entree un point P 
appartenant a une courbe elliptique donnee et un 
entier d. L'entier d est note d= ( d ( t ) , d ( t- 1 ) , 
d(0)) ' °* (d(t) ,d(t-l) ,...,d(0) ) est la 

representation binaire de d, avec d(t) le bit de 
poids fort et d(0) le bit de poids faible. 
L' algorithme retourne en sortie le point Q=d.P. 

L' algorithme « double and add " comporte les 3 
etapes suivantes : 

1) Initialiser le point Q avec la valeur P 

2) Pour i allant de t-1 a 0 executer : 
2a) Remplacer Q par 2Q 

2b) Si d(i)=l remplacer Q par Q+p 

3) Retourner Q. 



II est apparu que 1 ' implementation sur carte a 
puce d'un algorithme de chiffrement a cle 
publique du type courbe elliptique etait 
vulnerable a des attaques consistant en une 
analyse dif f erentielle de consommat ion de 
courant permettant de retrouver la cle privee de 
d^chif f rement . Ces attaques sont appelees 
attaques DPA, acrohyme pour Differential Power 
Analysis. Le principe de ces attaques DPA repose 
sur le fait que la cons ommat ion de courant du 
microprocesseur executant des instructions varie 
selon la donnee manipulee. 

En particulier, lorsqu'une instruction manipule 
une donnee dont un bit particulier est constant, 
la valeur des autres bits pouvant varier, 
1' analyse de la consommation de courant li6e & 
1' instruction montre que la consommation moyenne 
de 1' instruction n'est pas la meme suivant que 
le bit particulier prend la valeur 0 ou 1. 
L'attaque de type DPA permet done d'obtenir des 
informations supplementaires sur les donn§es 
int ermediaires manipulees par le microprocesseur 
de la carte lors de l f execution d'un algorithme 
cryptographique. Ces informations 

supplementaires peuvent dans certain cas 
permettre de reveler les parametres prives de 
1' algorithme de dechif f rement , rendant le 
syst^me cryptographique non sur. 
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Dans la suite de ce document on decrit 
precede d'attaque DPA sur un algorithme de type 
courbe elliptique realisant une operation du 
type multiplication scalaire d'un point P par un 
entier d, l'entier d etant la cle secrete. Cette 
attaque permet de reveler directement la cle 
secrete d. Elle compromet done gravement la 
securite de 1 ' implementation de courbes 
elliptiques sur une carte a puce. 

La premiere etape de 1' attaque est 
l'enregistrement de la consommation de courant 
correspondant a 1' execution de 1' algorithme 
" double and add " decrit precedemment pour N 
points distincts P(l),..., P(N). Dans un 
algorithme a base de courbes elliptiques, le 
microprocesseur de la carte a puce va effectuer 
N multiplications scalaires d . P ( 1 ),..., d . P (N ) . 

Pour la clarte de la description de l'attaque, 
on commence par decrire une raethode permettant 
d'obtenir la valeur du bit d(t-l) de la cle 
secrete d, ou (d ( t ) , d ( t-1 ) , d(0)) est la 
representation binaire de d, avec d(t) le bit de 
poids fort et d(0) le bit de poids faible. On 
donne ensuite la description d'un algorithme qui 
permet de retrouver la valeur de d. 

On groupe les points P(l) a P(N) suivant la 
valeur du dernier bit de l'abscisse de 4.P, ou P 
designe un des points P(l) a P(N). Le premier 
groupe est constitue des points P tels que le 
dernier bit de l'abscisse de 4.P est egal a 1. 




Le second groupe est constitue des points P tels 
que le dernier bit de l'abscisse de 4.P est egal 
a 0. On calcule la moyenne des consommat ions de 
courant cor respondant £ chacun des deux groupes, 
5 et on calcule la courbe de difference entre ces 
deux moyennes. 

Si le bit d(t-l) de d est egal a 0, alors 
1'algorithme de multiplication scalaire 

10 precedemment decrit calcule et met en memoire la 
valeur de 4. P. Cela signifie que lors de 
l'execution de 1'algorithme dans une carte a 
puce, le micr oprocesseur de la carte va 
effectivement calculer 4. P. Dans ce cas, dans le 

15 premier groupe de message le dernier bit de la 
donnee manipulee par le microprocesseur est 
toujours a 1, et dans le deuxieme groupe de 
message le dernier bit de la donn6e manipulee 
est toujours a 0. La moyenne des consommat ions 

20 de courant cor respondant £ chaque groupe est 
done differente. II apparait done dans la courbe 
de difference entre les 2 moyennes un pic de 
dif ferentiel de consommation de courant. 

25 Si au contraire le bit d(t-l) de d est egal a 
1/ 1'algorithme d ' exponentiation decrit 

precedemment ne calcule pas le point 4. P. Lors 
de l'execution de 1'algorithme par la carte a 
puce, le microprocesseur ne manipule done jamais 

30 la donnee 4. P. II n'apparait done pas de pic de 
differential de consommation. 
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Cette methode permet done de determiner la 
valeur du bit d(t-l) de d. 

L'algorithme decrit dans le paragraphe suivant 
est une generalisation de l'algorithme 
precedant. II permet de determiner la valeur de 
la cle secrete d. 

On definit l'entree par N points notes P(l) a 
P(N) correspondant a N calculs realises par la 
carte a puce et la sortie par un entier h. 

Ledit algorithme s'effectue de la maniere 
suivante en trois etapes . 

1) Executer h=l ; 

2) Pour i allant de t-1 a 1, executer : 

2)1) Classer les points P(l) a P(N) suivant la 
valeur du dernier bit de l'abscisse de (4*h).P ; 
2)2) Calculer la moyenne de consommation de 
courant pour chacun des deux groupes ; 
2)3) Calculer la difference entre les 2 
moyennes ; 

2) 4) Si la difference fait apparaitre un pic de 
differentiel de consommation, faire h=h*2 ; 
sinon faire h=h*2+l ; 

3) Retourner h. 



L'algorithme precedent fournit un entier h tel 
que d=2*h ou d=2*h+l. Pour obtenir la valeur de 
d, il suffit ensuite de tester les deux 
hypotheses possibles. 
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L'attaque de type DPA decrite permet done de 
retrouver la cle privee d. 

Le procede de 1' invention consiste en 
1 ' elaboration d'une contre mesure permettant de 
se premunir contre l'attaque DPA decrite 
pr ecedemment . Cette contre mesure utilise la 
representation des points de la courbe 
elliptique en coordonnees projectives. 



Comme il a ete explique precedemment , le 
representant d'un point en coordonnees 
projectives n'est pas unique. Si le corps fini 
sur lequel est defini la courbe elliptique 
15 comprend n elements, il est possible de choisir 
un representant parmi n-1 possibles. 

En choisissant un representant aleatoire d'un 
point sur lequel on effectue un calcul, les 
valeurs intermediaires du calcul deviennent 
20 elles-memes al6atoires et done impr§visibles de 
l'exterieur, ce qui rend l'attaque DPA 
pr ecedemment decrite impossible. 

Le procede de la contre mesure consiste en une 
25 modification des operations d' addition de point 
et de doublement de point de courbe elliptiques 
definies sur les corps finis GF(p) pour p 
premier et GF(2 A n) . La modification des 
operations d'additiori de point et die doublement 
30 de point de courbes elliptiques definies sur les 
corps finis GF(p) pour p premier et GF(2 A n) 
s' applique quelque soit l'algorithme utilise 
pour realiser ces operations. 



Le procede de la contre mesure consiste 
egalement en la definition de 4 variantes dans 
l'operation de multiplication scalaire. Ces 4 
variantes s'appliquent quelque soit 1 ' algorithme 
utilise pour realiser l'operation de 

multiplication scalaire. 

Dans ce paragraphe, on decrit la modification de 
1' algorithme de doublement de point d'une courbe 
elliptique definie sur le corps fini GF(p), ou p 
est un nombre premier. La courbe elliptique est 
done definie par 1' equation suivante : 

y A 2=x A 3+a*x+b 

ou a et b sont des parametres entiers fixes au 
depart . 

Les coordonnees projectives du point 

Q=(X2,Y2,Z2) tel que Q=2 . P avec P=(X1,Y1,Z1) 
sont calculees par le procede suivant en 6 
etapes. Dans chacune des etapes, les calculs 
sont effectues modulo p. 

1) Calculer M=3 *X1 A 2+a * Z 1 A 4 ; 

2) Calculer Z2=2*Y1*Z1; 

3) Calculer S=4 *X1 * Yl ^2 ; 

4) Calculer X2 =^^2 -2 * S ; 

5) Calculer T=8*Y1 A 4; 

6) Calculer Y2=M* (S-X2 ) -T . 

Le procede de la contre mesure consiste en une 
modification du procede precedent. 



Le nouveau procede de doublement de point d'une 
courbe elliptique definie sur le corps fini 
GF(p) consiste en les 8 etapes suivantes : 




1) 


Tirer au 


hasard un entier A. tel 


que 0<X<p; 


2) 


Calculer 


X'1=X A 2*X1, Y'1=A. A 3*Y1 


et Z'1=X*Z1; 


3) 


Calculer 


M=3*X' 1^2+a*^ 1 A 4; 




4 ) 


Calculer 


Z2=2*Y'l*Z'l; 




5) 


Calculer 


S=4*X' 1*Y' 1 A 2; 




6) 


Calculer 


X2=M A 2-2*S; 




7) 


Calculer 


T = 8*Y' I'M ; 




8) 


Calculer 


Y2=M* (S-X2) -T. 





Plus generalement, le procede de la contre 
15 mesure s' applique quelque soit le procede (note 
par la suite A) utilise pour realiser 
1' operation de doublement de point. Le procede A 
est remplace par le procede A' en 3 etapes : 



20 Entree : un point P=(X1,Y1,Z1) represents en 
coordonnees projectives. 

Sortie : une point Q=(X2,Y2,Z2) represents en 
coordonnes projectives tel que Q=2 . P 



25 1) Tirer au hasard un entier X tel que 0<A.<p; 

2) Calculer X' 1=A,^2 *X1 , Y'1=A, A 3*Y1 et Z'1=A,*Z1, 
X'l, Y' 1 et Z f l definissant les coordonnees 

du point P'=(X'l,Y'l,Z'l) ; 

3) Calculer Q=2*P' a 1'aide de 1 ' algor ithme A. 



30 
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Les variables manipulees au cours de l'execution 
du procede A' etant aleatoire, l'attaque DPA 
precedemment decrite ne s'applique plus. 

Dans ce paragraphe, on decrit la modification de 
l'algorithme d'addition de point d'une courbe 
elliptique definie sur le corps fini GF(p), ou p 
est un nombre premier. 

Les coordonnees projectives du point 

R=(X2,Y2,Z2) tel que R=P+Q avec P=(X0,Y0,Z0) et 
Q=(X1,Y1,Z1) sont calculees par le procede 
suivant en 12 etapes. Dans chacune des etapes, 
les calculs sont effectues modulo p. 



1) 


Calculer 


U0=X0*Z1 ~2; 


2) 


Calculer 


S0=Y0*Z1 A 3; 


3) 


Calculer 


U1=X1*Z0 A 2; 


4) 


Calculer 


S1=Y1*Z0 /V 3; 


5) 


Calculer 


W=U0-U1; 


6) 


Calculer 


R=S0-S1; 


7) 


Calculer 


T=U0+U1; 


8) 


Calculer 


M=S0+S1 ; 


9) 


Calculer 


Z2=Z0*Z1*W; 


10) 


Calculer 


X2=R /N 2-T*W /V 2; 


11) 


Calculer 


V=T*W /S 2-2*X2 ; 


12) 


Calculer 


2*Y2=V*R-M*W A 3 . 



Le procede de la contre mesure consiste en une 
modification du procede precedent. Le nouveau 
procede d' addition de point d'une courbe 
elliptique definie sur le corps fini GF(p) 
consiste en les 16 etapes suivantes : 




10 
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1) Tirer au hasard un entier X tel que 0<X<p; 

2) Remplacer XO par A, yv 2*X0, YO par A, /V 3*Y0 et ZO 
par X*Z0; 

3) Tirer au hasard un entier jj. tel que 0<ji<p; 

4) Remplacer XI par n~2*Xl, Yl par ja /v 3*Yl et Zl 



par 


u*Zl; 








5) 


Calculer 


UO 


=X0*Z1 


A 2; 


6) 


Calculer 


SO 


=yo*zi 


A 3; 


7) 


Calculer 


Ul 


=X1*Z0 


A 2; 


8) 


Calculer 


SI 


=Y1*Z0 


A 3; 


9) 


Calculer 


W= 


U 0 - 0 1 ; 




10) 


Calculer 


R= 


S 0 - S 1 ; 




11) 


Calculer 


T = 


U0+U1; 




12) 


Calculer 


M= 


S0+S1; 




13) 


Calculer 


Z2 


=Z0*Z1 


*W; 


14) 


Calculer 


X2 


=R A 2-T 


*W A 2 ; 


15) 


Calculer 


V= 


T*W A 2- 


2*X2; 


16) 


Calculer 


2* 


Y2=V*R 


-M*W A 3 . 



20 

Plus generalement , le procede de la contre 
mesure s' applique quelque soit le proced6 (not6 
par la suite A) utilise pour r6aliser 
1' operation d' addition de point. Le procede A 
25 est remplace par le procede A' en 5 etapes : 

Entree : deux points P=(X0,Y0,Z0) et 

Q=(X1,Y1,Z1) representees en coordonnees 

pro j ect i ves . 

30 Sortie : le point R=(X2,Y2,Z2) represents en 
coordonnes projectives tel que R=P-f-Q 
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1) Tirer au hasard un entier X tel que 0<Jl<p; 

2) Remplacer XO par \*2*X0, YO par X~3*Y0 et ZO 
par X*ZO; 

3) Tirer au hasard un entier n tel que 0<^<p; 

4) Remplacer XI par u A 2*Xl, Yl par n A 3*Yl et Zl 
par n*Zl; 

5) Calcul de R=P+Q a l'aide de l'algorithme A. 

Les variables manipulees au cours de 1' execution 
du precede A' etant aleatoire, l'attaque DPA 
precedemment decrite ne s'applique plus. 
Dans ce paragraphe, on decrit la modification de 
l'algorithme de doublement de point d'une courbe 
elliptique definie sur le corps fini GF (2 A n) La 
courbe elliptique est done definie par 
1' equation suivante : 

y A 2 + x*y=x /v 3 + a*x /v 2+b 

ou a et b sont des parametres appartenant au 
corps fini GF(2 A n) fixes au depart. On definit c 
par 1 ' equation : 

c=b A (2 A (n-2) ) . 

Les coordonnees projectives du point 

Q=(X2,Y2,Z2) tel que Q=2 . P avec P=(X1 / Y1,Z1) 
sont calculees par le procede suivant en 4 
Stapes. Dans chacune des etapes, les calculs 
sont effectues dans le corps fini GF (2 A n) 




1) Calculer Z2=X1*Z1 A 2; 

2) Calculer X2= (Xl+c*Zl A 2 ) A 4 ; 

3) Calculer U=Z2+X1 A 2+Y1*Z1 ; 

4 ) Calculer Y2=X1 A 4 * Z2 + U*X2 . 

5 

Le procede de la contre mesure consiste en une 
modification du procede precedent. Le nouveau 
procede de doublement de point d' une courbe 
elliptique definie sur le corps fini GF ( 2 A n ) 
10 consiste en les 6 etapes suivantes : 

1) Tirer au hasard un element non nul X de 
GF(2 A n) ; 

2) Calculer X' 1=A, A 2 *X1 , Y'1=A. A 3*Y1, Z'1=A,*Z1; 
15 3) Calculer Z 2=X ' 1 * Z' 1 A 2 ; 

4) Calculer X2= (X' l+c*Z' 1 A 2 ) A 4 ; 

5) Calculer U=Z2+X' 1 A 2+Y' 1*Z' 1 ; 

6) Calculer Y2=X' 1 A 4*Z2+U*X2 . 

20 Plus gen6ralement, le procede de la contre 
mesure s' applique quelque soit le procedS (not6 
par la suite A) utilise pour realiser 
l'operation de doublement de point. Le proced^ A 
est remplace par le procede A' en 3 etapes : 

25 

Entree : un point P=(X1,Y1,Z1) represents en 
coordonnees projectives. 

Sortie : une point Q=(X2,Y2,Z2) represents en 
coordonnes projectives tel que Q=2 . P 
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1) Tirer au hasard un Element k non nul de 
GF{2 A n) ; 

2) Calculer X'1=**2*X1, Y'1=X-3*Y1, Z'1=X*Z1, 
X'l, Y'l et Z'l definissent les coordonnees 

du point P'=(X'l,Y'l / z'i); 

3) Calcul de Q=2.P' a l'aide de 1 ' algori thme A. 
Les variables manipulees au cours de l'execution 
du precede A' etant aleatoire, l'attaque DPA 
precedemment decrite ne s' applique plus. 

Dans ce paragraphe, on decrit la modification de Q 
l'algorithme d'addition de point d'une courbe 
elliptique definie sur le corps fini GF ( 2 A n ) . 

15 Les coordonnees projectives du point 

R=(X2,Y2 / Z2) tel que R=P+Q avec P=(X0,Y0,Z0) et 
Q=(X1 / Y1,Z1) sont calculees par le procede 
suivant en 12 etapes . Dans chacune des etapes, 
les calculs sont effectues dans le corps fini 

20 GF(2 A n) . 

1) Calculer U0=X0*Z1 A 2 

2) Calculer S0=Y0*Z1 A 3 

3) Calculer U1=X1*Z0 A 2 

4) Calculer S1 = Y1*Z0 /V 3 
25 5) Calculer W=U0+U1; 

6) Calculer R=S0+S1; 

7) Calculer L=Z0*W; 

8) Calculer V=R*X1+L*Y1; 

9) Calculer Z2=L*Z1; 
30 10) Calculer T=R+Z2; 

11) Calculer X2 = a*Z2 /v 2 + T*R+U^3; 

12) Calculer Y2=T*X2+V*L A 2 . 
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Le procede cie la contre mesure consiste en une 
modification du procede precedent. Le nouveau 
procede d' addition de point d'une courbe 
elliptique definie sur le corps fini GF(2 A n) 
5 consiste en les 14 etapes suivantes : 

1) Tirer au hasard un element X non nul de 
GF (2 A n) ; 

2) Remplacer XO par X*2*X0, YO par A,*3*Y0 et ZO 
par X*ZO; 

10 3) Tirer au hasard un element jx non nul de 
GF(2 A n) ; 

4) Remplacer XI par n^2*Xl, Yl par |i^3*Yl et Zl 





par 


H*Z1; 






5) 


Calculer 


U0=X0*Z1^2; 


15 


6) 


Calculer 


S0=Y0*Z1 A 3; 




7) 


Calculer 


U1=X1*Z0' N 2; 




8) 


Calculer 


S1=Y1*Z0^3; 




9) 


Calculer 


W=U0+U1; 




10) 


Calculer 


R=S0+S1 ; 


20 


11) 


Calculer 


L=Z0*W; 




12) 


Calculer 


V=R*X1+L*Y1 ; 




13) 


Calculer 


Z2=L*Z1; 




14) 


Calculer 


T=R+Z2 ; 




15) 


Calculer 


X2 = a*Z2 /v 2+T*R+W A 3 ; 


25 


16) 


Calculer 


Y2=T*X2+V*L A 2 ; 



Plus generalement , le procede de la contre 
mesure s' applique quelque soit le procede (note 
par la suite A) utilise - pour realiser 
1'operation d'addition de point. Le procede A 
30 est remplace par le proced6 A' en 5 etapes : 
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Entree : deux points P=(X0,Y0,Z0) e t 

Q=(X1,Y1,Z1) represents en coordonnees 

pro j ectives . 

Sortie : le point R=(X2,Y2,Z2) represents en 
5 coordonnes projectives tel que R=P+Q 

1) Tirer au hasard un element X non nul de 
GF(2 A n) ; 

2) Remplacer XO par \"2*X0, YO par X"3*Y0 et ZO 
10 par X*Z0; 

3) Tirer au hasard un element n non nul de 
GF ( 2 A n ) ; 

4) Remplacer XI par ^2*X1, Yl par u A 3*Yl et Zl 
par n*Zl; 

15 5) Calcul de R=P+Q a l'aide de l'algorithme A. 

Les variables manipulees au cours de 1' execution 
du precede A' 6tant aleatoire, l'attaque DPA 
precedemment decrite ne s'applique plus. 

20 

Le precede de la centre mesure consiste 
egalement en la definition de 4 variantes dans 
l'operation de multiplication scalaire. 

L' operation de multiplication scalaire fait 

25 appel a l'operation de doublement de point note 
Do et a l'operation d'addition de point note Ad. 
L'operation de doublement de point modifie 
decrite precedemment est notee Do' et 
l'operation d'addition de point modifiee decrite 

30 precedemment est notee Ad' . 




premiere 



variante de modification de l'operation de 
multiplication scalaire. La premiere variante 
consiste a rendre aleatoire la representation 
5 d'un point au debut du procede de calcul . Dans 
le cas de 1 ' utilisation de l'algorithme M double 
and add ", le procede modifie de multiplication 
scalaire est le suivant en 5 etapes. Le procede 
prend en entree un point P et un entier d. 

10 L'entier d est note d= (d ( t ) , d ( t -1 ) , d(0)), ou 
(d(t),d(t-l),...,d(0)) est la representation 
binaire de d, avec d(t) le bit de poids fort et 
d(0) le bit de poids faible. L'algorithme 
retourne en sortie le point Q=d.P. 

15 Cette premiere variante s'execute en cinq 
etapes : 

1) Initialiser le point Q avec la valeur P; 

2) Remplacer Q par 2.Q en utilisant le procede 
Do'; 

20 3) Si d(t-l)=l remplacer Q par Q+P en utilisant 
le procede Ad; 

4) Pour i allant de t-2 a 0 executer : 
4a) Remplacer Q par 2Q; 

4b) Si d(i)=l remplacer Q par Q+P; 

25 5) Retourner Q. 

Plus generalement, le procede de la premiere 
variante decrit precedemment s' applique a 
l'operation de multiplication scalaire quelque 
30 soit le procede (note par la suite A) utilise 
pour realiser le calcul de la multiplication 
scalaire. Le procede A fait appel aux operations 
Do et Ad definies precedemment. 
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La premiere variante de la centre mesure 
consiste a remplacer la premiere operation Do 
par Do' definie precedemment. 

La premiere variante permet done d' assurer que 
les variables intermediates manipulees lors de 
1' operation de multiplication scalaire sont 
aleatoires. Cela rend l'attaque DPA precedemment 
decrite inapplicable. 

Dans ce paragraphe on decrit la deuxieme 
variante de modification de 1' operation de 
multiplication scalaire. 

La deuxieme variante consiste a rendre aleatoire 
la representation d'un point au debut du precede 
de calcul et a la fin du procede de calcul . Dans 
le cas de 1' utilisation de l'algorithme " double 
and add ", le procede modifie de multiplication 
scalaire est le suivant en 7 etapes. Le procede 

prend en entree un point P et un entier d. 

L'entier d est note d= (d (t ) , d (t-1) , d(0)), ou 
(d(t),d(t-l),...,d(0)) est la representation 

binaire de d, avec d(t) le bit de poids fort et 

d(0) le bit de poids faible. L'algorithme 

retourne en sortie le point Q=d.P. 

Cette seconde variante s'execute en sept etapes: 

1) Initialiser le point Q avec la valeur P; 

2) Remplacer Q par 2.Q en utilisant le procede 
Do' ; 

3) Si d(t-l)=l remplacer Q par Q+P en utilisant 
le procede Ad; 




4) Pour i allant cle t-2 a 1 executer : 
4a) Remplacer Q par 2Q; 

4b) Si d(i)=l remplacer Q par Q+P; 

5) Remplacer Q par 2.Q en utilisant le procede 
5 Do'; 

6) Si d(0)=l remplacer Q par Q + P en utilisant 
le procede Ad; 

7) Retourner Q. 

10 Plus generalement, le procede de la deuxieme 
variante decrit precedemment s' applique a 
1' operation de multiplication scalaire quelque 
soit le procede (note par la suite A) utilise 
pour realiser le calcul de la multiplication 

15 scalaire, Le proced6 A fait appel aux operations 
Do et Ad def inies precedemment. La deuxieme 
variante de la contre mesure consiste a 
remplacer la premiere operation Do par Do' 
d§finie precedemment et la derniere operation Do 

20 par Do' . 

La deuxieme variante permet done d' assurer que 
les variables intermediaires manipulees lors de 
1' operation de multiplication scalaire sont 
25 aleatoires. L'avantage de la deuxieme variante 
est une securite accrue contre des attaques DPA 
en fin d'algorithme de multiplication scalaire. 
En particulier, la deuxieme variante rend 
l'attaque DPA precedemment decrite inapplicable. 

30 

Dans ce paragraphe, on decrit la troisieme 
variante de modification de l'operation de 
multiplication scalaire. 
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La troisieme variante consiste a rendre 
aleatoire la representation de chacun des points 
manipules au cours du procede de multiplication 
scalaire. Dans le cas de 1' utilisation de 
l'algorithme " double and add ", i e procede 
modifie de multiplication scalaire est le 
suivant en 4 etapes. Le procede prend en entree 
un point P et un entier d. L'entier d est note 
o><d(t) ,d(t-l) d(0)), ou (d(t) ,d(t-l) ,...,d(0) ) 

est la representation binaire de d, avec d(t) le 
bit de poids fort et d(0) le bit de poids 
faible. L'algorithme retourne en sortie le point 
Q=d. P. 

Cette troisieme variante s'execute en trois 
etapes: 

1) Initialiser le point Q avec le point P; 

2) Pour i allant de t-2 a 0 executer : 

2a) Remplacer Q par 2Q en utilisant le 

procede Do' ; 

2b ) Si d(i)=l remplacer Q par Q+p en 

utilisant le procede Ad' ; 

3) Retourner Q. 

Plus generalement, le procede de la troisieme 
variante decrit precedemment s' applique a 
1' operation de multiplication scalaire quelque 
soit le procede (note par la suite A) utilise 
pour realiser le calcul de la multiplication 
scalaire. Le procede A fait appel aux operations 
Do et Ad definies precedemment. 




La troisieme variante de la contre mesure 
consiste a remplacer toutes les operations Do 
par Do' et Ad par Ad' . 

5 La troisieme variante permet done d' assurer que 
les variables int ermediaires manipul^es lors de 
l'operation de multiplication scalaire sont 
aleatoires. L'avantage de la troisieme variante 
par rapport a la deuxieme variante est une 
10 securite accrue contre les attaques DPA sur les 
operations intermediaires du procede de 
multiplication scalaire- En particulier, la 
troisieme variante rend l'attaque DPA 

precedemment decrite inapplicable. 

15 

Dans ce paragraphe on decrit la quatrieme 
variante de modification de l'operation de 
multiplication scalaire. La quatrieme variante 
consiste a rendre aleatoire la representation de 

20 chacun des points manipules au cours du proced§ 
de multiplication scalaire. La quatrieme 
variante est une modification de la troisieme 
variante par 1 ' ut i 1 isa t ion d'un compteur, ledit 
compteur permettant de determiner les etapes de 

25 l'algorithme de multiplication scalaire pour 
lesquelles la representation d'un point est 
rendue aleatoire. On definit pour cela un 
parametre de securite T. Dans la pratique on 
peut prendre T = 5 . Dans le cas de l f utilisation 

30 de l'algorithme xx double and add ", le procede 
modifie de multiplication scalaire est le 
suivant en 4 etapes. Le procede prend en entree 
un point P et un entier d. 
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L'entier d est note d= ( d ( t ) , d ( t- 1 ) , d ( 0 ) ) , 
(d(t),d(t-l),...,d(0)) est la representation 
binaire de d, avec d(t) le bit de poids fort et 
d(0) le bit de poids faible. L'algorithme 
retourne en sortie le point Q=d.P. 

La quatrieme variante s'execute en trois etapes: 

1) Initialiser le point Q avec le point P 
10 2) Initialiser le compteur co a la valeur T. 

3) Pour i allant de t-1 a 0 executer : 

3a) Remplacer Q par 2Q en utilisant le 

precede Do si co est different de 0, sinon 

utiliser i e procede Do' . 

15 3b) si d(i)=l remplacer Q par Q+p en 

utilisant le procede Ad. 

3c) Si co=0 alors reinitialiser le compteur co 
a la valeur T. 

3d) Decrementer le compteur co. 
20 3) Retourner Q. 

Plus generalement, le procede de la troisieme 
variante decrit precedemment s' applique a 
l'operation de multiplication scalaire quelque 
soit le procede (note par la suite A) utilise 
pour realiser le calcul de la multiplication 
scalaire. Le procede A fait appel aux operations 
Do et Ad definies precedemment. 

La variante de la troisieme centre mesure 
30 consiste a initialiser un compteur co a la 
valeur T. L'operation Do est remplacee par 
l'operation Do' si la valeur du compteur est 
egale a 0. 
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Apres chaque execution des operations Do ou Do' , 
le compteur est reinitialise a la valeur T s'il 
a atteint la valeur 0 ; il est ensuite 
decrement e . 

La quatrieme variante permet done d' assurer que 
les variables int ermediaires manipulees lors de 
1' operation de multiplication scalaire sont 
aleatoires. L' avantage de la quatrieme variante 
par rapport k la troisieme variante est une plus 
grande rapidity d' execution. La quatrieme 
variante rend l'attaque DPA precedemment decrite 
inapplicable . 

L' application de 1'une des 4 variantes 
precedemment decrite permet done de proteger 
tout algorithme cryptographique base sur les 
courbes elliptiques contre l'attaque de type DPA 
precedemment decrite . 
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REVENDICATIONS 



1- Precede de cont re-mesure dans un composant 
electronique mettant en oeuvre un algorithme de 
cryptographie a cle publique de type courbe 
elliptique en utilisant la representation des 
points de ladite courbe elliptique en 
coordonnees projectives consistant a representer 
un point P de la courbe elliptique par les 
coordonnees (X, Y, Z) telles que x=X/Z et 
y=Y/Z*3, x et y etant les coordonnees du point 
de la courbe elliptique en coordonnees affines, 
ladite courbe comprenant n elements et etant 
definie sur un corps fini GF(p), p etant un 
nombre premier, ladite courbe ayant pour 
Equation y*2=x-3 + a*x+b, ou definie sur un corps 
fini GF(2 A n) , ladite courbe ayant pour equation 
y-2 + x*y=x-3 + a*x-2 + b, ou a et b sent des 
parametres entiers fixes au depart, 

ledit precede etant caracterise en ce qu'il 
choisit un representant aleatoire parmi n 
elements possibles en coordonnees projectives 
de la courbe elliptique et consiste en une 
modification des operations d'addition de points 
et le doublement desdits points et une 
modification de 1 ■ operation ' de multiplication 
scalaire. 
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2_ ^^kocede de contre-i^^e selon la 

revendiSKon lcaracterise en c^que le procede 
de la contre mesure s' applique quelque soit le 
procede ou algorithme, note par la suite A, 
5 utilise pour realiser l'operation de doublement 
de point, le procede A etant remplace par le 
procede A' en 3 etapes, en utilisant une 
entree definie par un point P=(X1,Y1,Z1) 
represents en coordonnees projectives et une 
10 sortie definie par un point Q=(X2,Y2,Z2) 
represents en coordonnes projectives tel que 
Q=2.P, de la courbe elliptique, lesdites etapes 
etant : 



15 1) Tirer au hasard un entier k tel que 0<X<p; 

2) Calculer X'1=X A 2*X1, Y'1=A.*3*Y1 et Z'1=X*Z1, 
X'l, Y'l et Z'l definissant les coordonnees 

du point P' = (X' 1 , Y' 1 , Z' 1 ) ; 

3) Calculer Q=2*P' a l'aide de l'algorithme A. 

20 

3 ~ Procede de contre-mesure selon la 

revendication 1 caracterise en ce que 
l'algorithme de doublement de points, ou 
operations de doublement de points d 1 une courbe 
25 elliptique defini sur ledit corps fini GF(p) 
s'effectue en huit etapes: 
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1) 


Tirer au 


hasard un entier X tel 


que 0<X<p; 


2) 


Calculer 


X'1=X A 2*X1, Y'l=Jt*3*Yl 


et Z'1=A,*Z1; 


3) 


Calculer 


M=3*X' l A 2+a*Z' I'M ; 




4) 


Calculer 


Z2=2*Y' 1*Z' 1; 




5) 


Calculer 


S=4*X' 1*Y' 1 A 2 ; 




6) 


Calculer 


X2=M A 2-2*S; 




7) 


Calculer 


T=8*Y' 1 A 4 ; 




8) 


Calculer 


Y2=M* (S-X2) -T. 





4 — tTrocede de contre-melfre selon la 
revendication 1 caracterise en ce que plus 
generalement le precede dela cent re-mesure 
5 s' applique quelque soit le procede note par la 
suite A utilise pour realiser 1"« operation 
d' addition de points sur une courbe elliptique 
defini sur ledit corps fini GF(p) s'effectue en 
cinq etapes : 

10 1) Tirer au hasard un element X non nul de 
G F ( 2 A n ) ; 

2) Remplacer XO par X*2*XQ, Y0 par A. A 3*Y0 et Z0 
par X*Z0; 

3) Tirer au hasard un element n non nul de 
15 GF(2 A n); 

4) Remplacer XI par n A 2*Xl, Yl par n A 3*Yl et Zl 
par ji*Zl; 

5) Calcul de R=P+Q a l'aide de l'algorithme A. 

20 5- Procede de cont re-mesure selon la 
revendication 1 caracterise en ce que la 
modification de l'algorithme d'addition de point 
d'une courbe elliptique definie sur le corps 
fini GF(p), ou p est un nombre premier, est la 

25 suivante: les coordonnees projectives du point 
R=(X2,Y2,Z2) tel que R=P+Q avec P=(X0 / Y0,Z0) et 
Q=(X1,Y1,Z1) sont calculees par le procede 
suivant en 16 etapes, dans chacune des etapes, 
les calculs etant effectues modulo p: 
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1) Tirer au hasard un entier X appartenant 
audit corp fini GF(p) tel que 0<A.<p; 

2) Remplacer XO par A. A 2*X0,Y0 par X A 3*Y0 et Z0 
par A. Z0; 




3) Tir^p^pb hasard un entier ^P^ppartenant 

tel que 0<ji<p; 

4) Remplacer XI par \i~2*Xl, Yl par n A 3*Yl et Zl 
par ja*Zl; 

5 5) Calculer UO=X0*Zl A 2 

6) Calculer S0 = Y0*Z1 /V 3 

7) Calculer U1=X1*Z0 /V 2 

8) Calculer S1=Y1*Z0 A 3 

9) Calculer W=U0-U1 
10 10) Calculer R=S0-S1 

11) Calculer T=U0+U1 

12) Calculer M=S0+S1 

13) Calculer Z2=Z0*Z1*W; 

14) Calculer X2=R A 2-T*W A 2 ; 
15 15) Calculer V=T*W A 2-2 *X2 ; 

16) Calculer 2 * Y2=V*R-M*W A 3 . 

6- Procede de contre-mesure selon la 
revendicat ion 1 caracterise en ce que plus 
generalement , la modification de 1' algorithme 

20 d' addition de point d' une courbe elliptique 
definie sur le corps fini GF(2 A n), ou n est un 
nombre premier, est la suivante: les coordonnees 
projectives du point P={X1 / Y1,Z1) tel que R=P+Q 
et Q=(X2,Y2,Z2) sont calculees par le procede 

25 suivant en 3 etapes, dans chacune des etapes, 
les calculs etant effectues modulo p: 

1) Tirer au hasard un element X non nul de 
GF(2 A n) ; 

2) Calculer X'1=A. A 2*X1, Y'1=A. A 3*Y1, Z'1=A.*Z1, 

30 X'l, Y' 1 et Z'l definissent les coordonnees du 
point P' = (X' 1, Y' 1, Z' 1) ; 

3) Calcul de Q=2.P' a l'aide de l'algorithme A. 



O FEUIiO AVANT RECTlFiCATI 




? " X?!!^ 6 de contre - lri C^> selon la 
revendication 1 caracterise en ce que le precede 
de la contre mesure consiste en une modification 
du precede precedent, le nouveau procede de 
5 doublement de point d'une courbe elliptique 
etant definie sur le corps fini GF (2 A n) , et 
consiste en les 6 etapes suivantes : 

1) Tirer au hasard un element non nul X de 
0 GF(2 A n); 

2) Calculer X'1=^2*X1, Y'1=A*3*Y1, Z'1=Jl*Z1; 

3) Calculer Z2=X' 1 * Z ' 1 A 2 ; 

4) Calculer X2= (X' l + c*Z ' 1 A 2 ) "4 ; 

5) Calculer U=Z2+X' 1 A 2 + Y' 1*Z ' 1 ; 
> 6) Calculer Y2=X ' 1 " 4 *Z2+U*X2 . 

8 - Procede de contre-mesure selon la 
revendication 1 caracterise en ce que 
Plus generalement, la modification de 

l'algorithme d'addition de point d'une courbe 
elliptique definie sur le corps fini GF(2 A n) , ou 
n est un nombre premier, est la suivante: les 
coordonnees projectives du point P=(XO,Y0,ZO) et 
Q=(X1,Y1,Z2) en entree et R=(X2,Y2,Z2) sont 
calculees par le procede suivant en 5 etapes, 
dans chacune des etapes, les calculs etant 
effectues modulo: 

1) Tirer au hasard un element X non nul de 
G F ( 2 A n ) ; 

2) Remplacer XO par X*2*X0, YO par X A 3*Y0 et ZO 
par A.*ZO; 

3) Tirer au hasard un element n non nul de 
GF(2 A n) ; 
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4) Ren^p^^r XI par n^2*Xl, |i A 3*Yl et Zl 
par fi*Zl; 

5) Calcul de R=P + Q a l'aide de 1 ' a Igor i t hme A. 

9- Procede de cont re-mesure selon la 
revendication 1 caracterise en ce que le procede 
de la contre mesure consiste en une modification 
du procede d' addition de points d' une courbe 
elliptique definie sur le corps fini GF(2 A n)et 
consiste en les 16 etapes suivantes : 



1) Tirer au hasard un element X non nul de 
GF(2 A n) ; 

2) Remplacer XO par A. A 2*X0, YO par ^^3*Y0 et ZO 
par A,*Z0; 

3) Tirer au hasard un Element non nul de 
GF(2 A n) ; 

4) Remplacer XI par n A 2*Xl, Yl par ^3*Y1 et Zl 



par 








5) 


Calculer 


UO 


=X0*Z1 A 2; 


6) 


Calculer 


SO 


=Y0*Z1 A 3; 


7) 


Calculer 


Ul 


=X1*Z0 A 2; 


8) 


Calculer 


SI 


=Y1*Z0 A 3; 


9) 


Calculer 


w= 


U0+U1; 


10) 


Calculer 


R= 


S0+S1; 


11) 


Calculer 


L = 


Z0*W; 


12) 


Calculer 


V= 


R*X1+L*Y1; 


13) 


Calculer 


Z2 


=L*Z1; 


14) 


Calculer 


T = 


R+Z2 ; 


15) 


Calculer 


X2 


= a*Z2 A 2 + T*R+W /N 3 ; 


16) 


Calculer 


Y2 


=T*X2+V*L A 2 ; 



10 ^poc6d6 de contre-^re selon la 
revendication 1 caracterise en ce que 
la premiere variante de modification de 
1' operation de multiplication scalaire consiste 
a rendre aleatoire la representation d'un point 
au debut du precede de calcul par l' utilisation 
de l'algorithme " double and add ", i e precede 
modifie de multiplication scalaire est le 
suivant en 5 etapes, en prenant en entree un 
point P et un entier d,l'entier d etant note 
d=(d(t),d(t-l),..., d(0)), ou (d(t) ,d(t-l) ,...,d(0) ) 
est la representation binaire de d, avec d(t) le 
bit de poids fort et d(0) le bit de poids 
faible, l'algorithme retournant en sortie le 
point Q=d.P, le precede Do etant le procede de 
doublement de points, le procede Do' etant le 
procede de doublement des points modifies 
suivant l'une quelconque des revendications 
precedentes, cette premiere variante s'executant 
en cinq etapes: 

1) Initialiser le point Q avec la valeur P; 

2) Remplacer Q par 2.Q en utilisant le procede 
Do' ; 

3) Si d(t-l)=l remplacer Q par Q+P en utilisant 
le procede Ad, le procede Ad etant le procede 
d' addition de points; 

4) Pour i allant de t-2 a 0 executer : 
4a) Remplacer Q par 2Q; 

4b) Si d(i)=l remplacer Q par Q+P; 

5) Retourner Q. 



H" P ^P^F^ de contre-me^j^ selon la 
revendication 1 caracterise en ce que la 
deuxieme variante de 1 'operation de 

multiplication scalaire consiste a rendre 
aleatoire la representation d'un point au debut 
du procede de calcul et a la fin du procede de 
calcul, ceci dans le cas de 1' utilisation de 
l'algorithme xx double and add ", 

le procede modifie de multiplication scalaire 
etant le suivant en 7 etapes, prenant en entree 
un point P et un entier d, l'entier d <§tant note 
d=(d(t) , d(t-l) , d(0) ) , ou (d(t),d(t-l),...,d(0)) 
est la representation binaire de d, avec d(t) le 
bit de poids fort et d(0) le bit de poids 
faible, l'algorithme retournant en sortie le 
point Q=d.P, ladite seconde variante s'executant 
en sept etapes: 

1) Initialiser le point Q avec la valeur P; 

2) Remplacer Q par 2.Q en utilisant le procede 
Do'; 

3) Si d(t«l)=l remplacer Q par Q + P en utilisant 
le proced6 Ad; 

4) Pour i allant de t-2 a 1 executer : 
4a) Remplacer Q par 2Q; 

4b) Si d(i)=l remplacer Q par Q+P; 

5) Remplacer Q par 2.Q en utilisant le procede 
Do' ; 

6) Si d(0)=l remplacer Q par Q+P en utilisant 
le procede Ad; 

7) Retourner Q. 

12- Procede de cont re-me sur e selon la 
revendication 1 caracteris6 en ce que la 
troisidme variante de 1 'operation de 

multiplication scalaire s'execute en trois 
etapes : 
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1) Initialiser le point Q avec le point P; 

2) Pour i allant de t-2 a 0 executer : 

2a) Remplacer Q par 2Q en utilisant le 

5 procede Do' ; 

2b) Si d (i)=l remplacer Q par Q+p en 

utilisant le procede Ad', Ad' etant le procede 
d' addition des points modifies suivant les 
revendications precedentes; 
10 3) Retourner Q. 

13 ~ Procede de contre-mesure selon la 

revendication 1 caracterise en ce que la 
quatrieme variante de 1' operation de 

15 multiplication scalaire s ' execute en trois ' 
e tapes : 

1) Initialiser le point Q avec le point P 

2) Initialiser le compteur co a la valeur T. 

3) Pour i allant de t-1 a 0 executer : 

20 3a) Remplacer Q par 2Q en utilisant le 

procede Do si co est different de 0, sinon 

utiliser ie procede Do'. 

3t> * si d(i)=l remplacer Q par Q + P en 

utilisant le procede Ad. 
25 3c) Si co=0 alors ^initialiser le compteur co 

a la valeur T. 

3d) Decrementer le compteur co . 
3) Retourner Q. 

14- Composant electronique utilisant le procede 
30 selon l'une quelconque des revedicat ions 
precedentes caracterise en ce qu'il peut etre 
une carte a puce. 
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2- Procede de contre-raesure selon la 
revendication lcaracterise en ce que le procede 
de la contre mesure s' applique quelqu.e soit le 
procede ou algorithme, not6 par la suite A, 

5 utilise pour* realiser 1 ' .operation : de * doublement 
de point, le procede A etant remplace par * le 
proc6de A' en 3 etapes, en utilisant une 
entree definie par un point P=(X1,Y1,Z1) 
represen£e en coordonnees projectives et une 
10 sortie . definie par un point Q=(X2,Y2,Z2) * 
repr6sente en coordonneg projectives tel que 
Q=2.P, de la courbe elliptique, lesdites etapes 
etant: 

15 1) Tirer au hasard un entier X tel que 0<X<p; 

2) Calculer X'1=A.~2*X1, Y'1=A^3*Y1 et Z'1=X*Z1, " 
X'l, Y'l et Z'l definissant les coordonnees 

•du point P' = (X' 1, Y' 1, Z' 1) ; 

3) Calculer Q=2*P' £ 1' aide de 1' algori thme A. 
20 . - 

3- Procede de contre-raesure selon la 
revendication 1 caracteris6 en ce que 
1 ' algor ithme de doublement de points, ou 
operations de doublement de points 'd'une courbe 

25 elliptique defini sur ledit corps fini GF(p) 
s' ef fectue en huit. etapes: 





1) 


Tirer au 


hasard un entier X tel 


que 0<X<p; 




2) 


Calculer 


X'l=a. A 2*Xl, Y'1=\ A 3*Y1 


et Z ' 1=X*Z1; 


30 


3) 


Calculer 


M=3*X' l A 2 + a*Z'l /v 4; 






4) 


'Calculer 


Z2=2*Y' 1*Z' 1; 






5) 


Calculer 


S=4*X' 1*Y' 1"2; 






6) 


Calculer 


X2=M ys 2-2*S ; 






7) 


Calculer 


T=8*Y'1~4; 
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8) 


Calculer 


Y2=M* (S-X2.) -T. 
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4 _ ^ftcede de contre-^Pre .selon i a 
revendication 1 caracterise en ce que plus 
generalemerit le . procede dela cont re-mesure. ' 
5 s' applique quelque soit le procede note par la 
suite . A utilise pour real.iser - 1 '.operation 
d'addition de points' sur une courbe elliptique 
defini sur ledit corps fini GF(p) s'e.ffectue en 
cinq etapes : 

10 1) Tire-r. au hasard un element \ . non nul . de 
GF(2 A n); 

2) . Remplacer X0 par X A 2*X0, Y0 par X A 3*Y0 et Z0 
■• par -X*Z0 ; 

3) Tirer au hasard un element n non nul de 
15 GF(2 A n); 

4) Remplacer XI par fi A 2*Xl, Yl par u A 3*Yl et Zl 
par u>Zl; 

5) Calcul de R=P+Q a l'aide de l'algorithme A. 

20 5- Procede de cont re-mesure selon la 
revendication 1 caracterise. en ce que la 
modification de l'algorithme- d' addition " de point 
d'une courbe elliptique definie sur le corps 
fini GF(p),. ou p est un nombre premier, est la. 

25 suivante: les coordonnees pro j ectives. du point 
R=(X2,Y2,Z2) tel que. R=P+Q avec P= (XO , Y0 , Z0 ).. et 
Q = ( xl ' Y1 / Zl ) sont calculees par le procede 
suivant en 16 etapes, dans chacune des etapes, 
les calculs etant effectues modulo p: 
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1) Tirer au hasard un entier A. appartenant 
audit corp fini GF(p) tel que 0<X<p; 

2) Remplacer XO par X A 2*X0,Y0 par A. A 3*Y0 et Z0 
par X Z0; 




3) - Tirer au hasard un entier p, apppartenant £ 
tel que 0<fi<pr 

4) Remplacer XI par \x*2*Xl, Yl par p. A 3*Yl et Zl 





par 


p*Zl; 




5 


5) 


Calculer 


U0 = X0*Z1 /V 2; 


- 


6) 


Calculer 


S0=Y0*Z1 A 3; 




7) 


Calculer 


01=X1*ZO~2; 




8) 


Calculer 


S1=Y1*Z0 /V 3; 




9) 


Calculer 


W=U0-U1; 


10 


10) 


Calculer 


R=S0-S1; 




11) 


Calculer 


T=U0+U1; 




12) 


Calculer 


M=S0+S1; 




13) 


Calculer 


Z2=Z0*Z1*W; 




14) 


Calculer 


X2=R /V 2-T*W /V 2; 


15 


15) 


Calculer 


V=T*W~2-2*X2; 




16) 


Calculer 


2 *Y2=V*R-.M*W A 3 . 




6- 


Procede 


de contre- 



revendica tion 1 caracterise en ce que plus 
g^neralement, la modification de 1 ' algorithme 

20 d' addition de point d'une courbe elliptique 
definie sur Le corps fini GF(2 A n), oil n est un 
nombre premier, est la suivante: les coordonnees 
projectives du point P=(X1,Y1,Z1) tel que R=P+Q 
et Q=(X2 / Y2 / Z2) sont calcuUes par le' procede 

25 suivant en 3 etapes, dans chacune des etapes, 
les calculs etant effectues modulo p: 

1) Tix^r au hasard un element X non nul de 
GF (2 A n) ; 

2) Calculer X' 1=X. A 2 *X1 , Y'l=a. A 3*Yl, Z'1=X*Z1, . 
30 X' 1, Y' 1 et Z'l definissent les coordonnees du 

point P'«(X' 1, Y'l, Z' 1) ' 

3) Calcul de Q=2:P' a l'aide de 1' algorithme A. 



5 
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7- Procede de contre-mesure selon i a 
revendication 1 caracterise en ce que le procede 
de la contre .mesure consiste en une modification 
du. procede. precedent, le nouveau procede de 
doublement de point' d'une courbe elliptique 
.etant definie. sur le corps, fini *GF(2 A n), et 
consiste en les 6 etapes suivantes : 

1) Tirer au hasard un element non nul X de 
10 GF(2 A n] ; 

2) Calculer X' 1=X A 2*X1, Y'1=A. A 3*Y1, Z'1=X*Z1; 

3) Calculer Z2=X' 1*Z'- 1*2; 

4) Cilculer X2 = (X' l-»-c*Z ' 1 A 2 ) A 4 ; 

5) Calculer U=Z2+X' 1 A 2 + Y' 1*Z ' 1 ; 
15 6) Calculer Y2=X' I'M *Z2+D*X2 . 

8 - Procede de contre-mesure selon la 
revendication 1 caracterise en ce que 
Plus generalement, la modification ' de 

l'algorithme d' addition de point d'une courbe 
elliptique definie sur le corps fini GF(2 A n),'ou 
n est un nombre premier, est' la suivante: les 
coordonnees projectives du point P=(X0,Y0,Z0) et 
Q.= (XI, Yl , Z2 ) en entree et R=(X2,Y2,Z2) sont 

calculees par le procede suivant en 5 etapes, 
dans chacune des etapes, les calculs etant 
effectues modulo: 

1) Tirer au hasard un element X non nul de 
30 GF ( 2 A n ) 

2) Remplacer X0 par ; a 2*X0, YO par X A 3*Y0 et Z0 
par X*Z0; 

3) Tirer au hasard un . element u. non nul de 
GF(2 A n) ; 
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4 
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4) Remplacer XI par n^2*Xl, Yl par [i A 3*Yl et Zl 
par p.*Zl; 

5) Calcul de R=P+Q £ 1'aide de 1 ' algori thine A. 

5 9- Precede • de contre-raesure selon la 
revendicat ion r caracteris6 en- ce que le procede 
de la contre mesure consiste en une modification 
du procede d' addition de points d'une courbe 
elliptique definie sur le corps fini GF(2 A n)et 
10 consiste en les 16 etapes suivantes : 

1) Tirer au hasard un 616rnent X non nul de 
GF(2 A n) ; 

2) Remplacer X0 par X~2*X0, Y0 par X^3*Y0 et Z0 " 
15 . par X*Z0 ; 

3) Tirer au hasard un element ]X non nul de 
GF (2 A n) ; 

4) Remplacer XI par p. /v 2*Xl / Yl par ji A 3*Yl et Zl 



20 



30 



par 


H+Zl; 








5) 


Calculer 


UO 


=-X0*Zl /4 2; 




6) 


Calculer 


SO 


=Y0*Z1 A 3; 




7) 


Calculer 


ui 


=X1*Z0 A 2; 




8) 


Calculer 


SI 


=Y1*Z0 A 3; 




9) 


Calculer 


W= 


O0+D1 ; 




10) 


Calculer 


R= 


S0+S1; 




11) 


Calculer 


L= 


Z0*W; 




12) 


Calculer 


V= 


R*X1+L*Y1; 




13) 


Calculer 


Z2 


=L*Z1; 




14) 


Calculer 


T = 


R+Z2; 




15) 


Calculer 


X2 


=a*Z2~2+T* 


R+W~3; 


16) 


Calculer 


Y2 


=T*X2+V*L A 


2;- 
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10 - Procede de contr e -ine sur e selon i a 
revendication 1 caracterise en ce que 
la premiere .variante' de modification de 
l'operation de multiplication .scalaire consiste 
5 a rendre aleatoire la representation d'un point 
au -debut du procede -de calcul pax 1' utilisation 
de 1' algorithme « double and add ", l e procede 
; modifie ; de multiplication scalaire ; est le 
suivant en 5 etapes, en prenant en entree un 
10 point P et un entier d,l'entier d etant • note- 

d=(d(t) ,d(t-l) d(0)), ou (d(t),d(t-l) d (0)) 

est la representation- binaire de d, avec d(t) le 
bit de poids fort et d(0) le bit -de poids 
faible, 1' algorithme retournant en sortie le 
15 point- Q=d.P, le procede- Do etant le procede de 
doublement de points, le procede Do' etant le 
procede de doublement des" points modifies 
suivant l'une quelconque . des r evendications 
precedentes, cette premiere variante s' executant 
en cinq etapes: 

1) ' Initialiser le point Q avec la valeur P; 

2) Remplacer Q par 2.Q en utilisant le procede ' 
Do' ; 

3) Si d(t-l)=l remplacer Q par Q + P en utilisant 
25 le procede Ad, le procede Ad etant le procede 

d' addition de' points; 

4) Pour i allant de' t-2 a 0 executer : 
4a) Remplacer Q par 2Q; 
4b) Si d(i)=l remplacer Q par Q+P; 

30 5) Retourner Q. 



20 
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II- Procede- de contre-mesure selon La 
revindication 1 caracterise en ce que la 
deuxieme Variante . de • 1 1 operation de 

multiplication scalaire consiste a rendre 
5 aleatoire la representation d'un point "au debut 
du procede de calcul et a la fin- du procede de- 
calcul, ceci dans le cas de l f utilisation de 
l'algorithme * double and add " , 

le proced6 modifie de multiplication scalaire 
10 <§tant le suivant en 7 Stapes , * prenant en entree 
un. point P et un entier d, l'entier d etant note 
d=(d(t) ,d(t-l) d<0) ) , oil (d(t)',d(t-l) , .„,.d<0) ) 

est la representation binaire de d, avec d(t) le 
bit de poids fort et d(0) le bit de^ poids 
15 faibl«e, l'algorithme retournant en sortie le 
point Q=d. P, ladite seconde variante s* executant 
en* sept etapes: 

1) Initialiser le point Q avec la valeur P; 

2) Remplacer Q par 2.Q en utilisant le procede 
20 Do' ; 

3) Si d(t-l)=l remplacex Q par Q+P en utilisant 
le proced6 Ad; . 

4) Pour i allant de t-2 a 1 execute'r : 
4a) Remplacer Q par 2Q; 

25 4b) Si d(i)=l remplacer Q par Q+P; 

5) Remplacer Q par 2.Q en utilisant le proced«S 
Do' ; 

6.) Si d(0)=l remplacer Q par Q+P en utilisant 
le proced6 Ad; 
30 7) Retourner Q- 

12- Procede de cbnt r e-mesure selon la 
revendicat ion 1 caracterise en ce que la 
troisieme variante de l r operation de 

35 multiplication scalaire s 1 execute en trois 
etapes : 



1) Initialiser le point Q avec le point P; 

2) Pour i allant de t-2 a 0 executer : 

.2a) Remplacer Q par 2Q en ut ilia ant. le 

procede Do' ; ' 

2b) ' si d(i)=i remplacer Q par Q+p en 

utilisant le . procede Ad', Ad' etant le procede 
d' addition dea points modifies suivant les 
re'vendications precedentes; 

3) Retourner Q. 

13 ~ Procede de contre-mesure selon la 

revendication 1 caracterise en ce que la 
quatrieme variante de 1' operation de 

multiplication scalaire s' execute en trois 
etapes: 

1) Initialiser le point Q avec le point P 

2) Initialiser le compteur co a la valeur T . 

3) Pour i allant de t-1 a 0 executer : 

3a) Remplacer Q par 2Q en utilisant le 

procede. Do si co est different' de .0, sinon 
utiliser le procedd Do' . 

3b ) Si d(i)=l remplacer Q par Q+p e n 

utilisant le procede Ad. 

3c) S.i co=0 alors reinitialiser le compteur co 
a la valeur T. 

3d) Decrementer le compteur co. 
3) Retourner Q. 

14- Composant electronique utilisant le procede 
.selon l'une quelconque des revedications 
pr§cedentes caracterise en ce qu'il peut etre 
une carte. a puce. 
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